PSPx форум - Чистим компьютер от Winlock'ера

Вступление:
Наверное каждый пользователь ПК с установленной ОС Windows знает о вирусах, троянах, червях итд. Но есть подгруппа зловредов по имени "RansomWare". Дословно: Ransom - выкуп, шантаж, а Ware(Software) - Программное обеспечение.
А именно это - группа Троянов-Вымогателей. Наша "Гроза интернета" Winlock, или же по офф. базе Dr.Web - trojan.Winlock.xxxx. Сейчаз его может сделать любая школота благодаря проге "Winlocker Builder"(этими винлоками "Леквидаторы" казнят читаков). Но любой винлок будь то Дефолтный, требующий бабла за разлочку, или подсунуты леквидатором легко лечится. Разумеется при прямых руках и ХОТЯБЫ МИНИМАЛЬНЫМ НАВЫКОМ РАБОТЫ В РЕЕСТРЕ Windows.

Принцип работы trojan.winlock:
Для примера возьмем винлок сделанный через билдер. Он числится в базе Dr.Web как
trojan.winlock.3333 . Сия модификация винлока требует запуска со стороны пользователя. При запуске, зловред придает своему ехе'шнику атрибут "Скрытый", затем отключает показ скрытых файлов в проводнике Windows, и прописывает себя в авторан. Как-то просто. Но другие модификации WinLocker'а прописывают себя в реестр /HKLM/Software/Microsoft/Windows NT/Current Version/WinLogOn/, там есть два ключа: shell и userinit. Обычно винлок прописывает себя или туда или в автозагрузку. Если чтотто дефолтные значения ключей:
Shell = Explorer.exe
Userinit = C:/WINDOWS/System32/userinit.exe

Чистка + Логические Размышления:
Ну что %username%, однажды ты запустил какой-то левый ехе'шник или просто включил комрьютер и видишь окно с текстом вроде "Windows Заблокирован! Гони бабло чтобы разблокировать!"? Ты столкнулся с распостраненным вымогателем бабла.
Естественно, гнать бабло никому не надо, надо пошевелить мозгами, подчистить ФС и Реестр и все, вымогателя-зловреда как не бывало!
Как следует из выше написанного, нужен доступ к ФС и к Реестру Винды. Так как доступ к основной ОС заблокирован винлоком, пойдем через черный ход - загрузимся с ERD Commander(ссылку на образ не оставляю, так как в инете его легко найти).
Подключаемся к нашей ОС, заходим в реестр(если у вас не 3333'ая модификация - она в реестр немзалазит) и идем по пути /HKLM/Software/Microsoft/Windows NT/Current Version/WinLogOn/, ищем ключи shell и userinit, если они по дефолту остались, ищем в реестре записи по дате создания(приблизительно в день заражения) и внимательно проверяем автозагрузку, так как некоторые модификации винлоков прописываются сюда(например 3333). Далее ищем в ФС ехе'шник трояна. Чаще всего он лежит в корне папки пользователя(C:/Documents and Settings/%username%/),НО например ехе'шник winlock.3333 лежит в той директории, в которой был открыт. После всех действий и проверок жмем Start/Log-Off/Reboot.
Достаем диск с ERD из привода как только комп токо начнет загружаться(во время Power On Self Test), хотя можно нажать Escape и выбрать загрузку с Жесткого Диска. Проверяем - после трояна не должно остаться ни следа! Еще после удачной загрузки рекомендую прошерстить все диски(локальные) хорошим антивирусом.
В качестве профилактики советую держать на компе и антивирь и фаервол(Брандмауера недостаточно), и естественно не лазить по сайтам сомнительного содержания и ТЕМБОЛЕЕ НЕ КАЧАТЬ ОТ ТУДА ФАЙЛЫ!